Google Chrome : ستحظر Google مواقع HTTPS غير الآمنة

Chrome : Google va bloquer les faux sites HTTPS non sécurisés

Dans une prochaine mise à jour, Google Chrome va s’attaquer aux sites web présentant des pages HTTPS qui n’offrent pas les garanties de sécurité du standard. Il existe en effet de nombreuses pages web en HTTPS mais qui chargent du contenu non sécurisé via des scripts, images et autres composants utilisant le protocole HTTP. Souvent, c’est dans l’intention de piéger les internautes avec du code malveillant.

Google est l’une des entreprises ayant milité pour une adoption massive du standard HTTPS. Désormais, « les utilisateurs de Chrome passent plus de 90% de leur temps de navigation sur des pages utilisant le protocole ». Mais le standard HTTPS n’offre pas encore une garantie de sécurité absolue, car certaines pages d’apparence sécurisée continuent de charger des ressources via le protocole HTTP. Dans une note publiée sur le blog Chromium, Google vient d’annoncer de nouvelles mesures pour bloquer les pages web présentant ce défaut dit de « contenu mixte ».

Google Chrome s’attaque aux pages HTTPS non sécurisées

La pratique du contenu mixte consiste à charger un site via une page HTTPS tout en y incluant des contenus HTTP pouvant compromettre la sécurité des internautes. Étant donné que les pages web sont actuellement autorisées à charger des composants web à partir d’un pool mixte de pages sécurisées et non sécurisées, des attaquants peuvent exploiter cette faille de manière à injecter du code malveillant ou charger du contenu téléchargeable contenant des malwares, comme l’expliquait un employé de Google dans un message envoyé aux membres du World Wide Web Consortium (W3C) il y a quelques mois.

La firme vient de présenter son plan d’attaque pour enrayer le phénomène. Elle va adopter une approche progressive qui aboutira au blocage systématique de tous les types de contenus mixtes à partir de Chrome 81attendu entre février et avril 2020. Il faut préciser que Google bloque déjà certains scripts et contenus iframe par défaut. Pour plus de flexibilité, Chrome 79 proposera une option permettant aux utilisateurs de débloquer certaines pages qu’ils jugent dignes de confiance, après quoi le processus de blocage progressif des autres types de contenus mixtes sera enclenché à partir de Chrome 80 qui est attendu début 2020.

In English

iChrome: Google will block false unsafe HTTPS sites

In a future update, Google Chrome will attack websites with HTTPS pages that do not offer the security guarantees of the standard. There are indeed many web pages in HTTPS but that load unsafe content via scripts, images and other components using the HTTP protocol. Often, it is intended to trap users with malicious code.

Google is one of the companies that has pushed for massive adoption of the HTTPS standard. Now, "Chrome users spend more than 90% of their browsing time on pages using the protocol." But the HTTPS standard does not yet offer a guarantee of absolute security, because some pages of secure appearance continue to load resources via the HTTP protocol. In a note published on the Chromium blog, Google has announced new measures to block web pages presenting this defect called "mixed content".

Google Chrome attacks unsecured HTTPS pages

The practice of mixed content is to load a site via an HTTPS page while including HTTP content that may compromise the security of users. Because web pages are currently allowed to load web components from a pool of secure and nonsecure pages, attackers can exploit this vulnerability to inject malicious code or load downloadable content containing malware. as explained by a Google employee in a message sent to members of the World Wide Web Consortium (W3C) a few months ago.

The firm has just presented its plan of attack to curb the phenomenon. It will adopt a progressive approach that will result in the systematic blocking of all types of mixed content from Chrome 81 expected between February and April 2020. It should be noted that Google already blocks some scripts and iframe content by default. For more flexibility, Chrome 79 will offer an option to allow users to unblock certain pages that they deem trustworthy, after which the process of progressive blocking of other types of mixed content will be triggered from Chrome 80 which is expected early 2020

In Arabic

Chrome: ستحظر Google مواقع HTTPS غير الآمنة

في تحديث مستقبلي ، سيهاجم Google Chrome مواقع الويب ذات صفحات HTTPS التي لا توفر ضمانات الأمان للمعيار. هناك بالفعل العديد من صفحات الويب في HTTPS ولكن ذلك يحمّل محتوى غير آمن عبر البرامج النصية والصور والمكونات الأخرى باستخدام بروتوكول HTTP. غالبًا ما يكون الغرض منه هو تعويض المستخدمين برمز ضار.

جوجل هي واحدة من الشركات التي دفعت من أجل اعتماد واسع النطاق لمعيار HTTPS. الآن ، "يقضي مستخدمو Chrome أكثر من 90٪ من وقت تصفحهم على الصفحات باستخدام البروتوكول." لكن معيار HTTPS لا يوفر حتى الآن ضمانًا للأمان المطلق ، لأن بعض الصفحات ذات المظهر الآمن تستمر في تحميل الموارد عبر بروتوكول HTTP. في ملاحظة نُشرت على مدونة Chromium ، أعلنت Google عن تدابير جديدة لحظر صفحات الويب التي تقدم هذا العيب باسم "محتوى مختلط".

يهاجم Google Chrome صفحات HTTPS غير الآمنة

تتمثل الممارسة المتمثلة في محتوى مختلط في تحميل موقع عبر صفحة HTTPS مع تضمين محتوى HTTP الذي قد يعرض أمن المستخدمين للخطر. نظرًا لأن صفحات الويب مسموح لها حاليًا بتحميل مكونات الويب من مجموعة من الصفحات الآمنة وغير الآمنة ، يمكن للمهاجمين استغلال هذه الثغرة الأمنية لحقن كود ضار أو تحميل محتوى قابل للتنزيل يحتوي على برامج ضارة. كما أوضح أحد موظفي Google في رسالة تم إرسالها إلى أعضاء شبكة الويب العالمية (W3C) قبل بضعة أشهر.

قدمت الشركة للتو خطتها للهجوم للحد من هذه الظاهرة. سيعتمد نهجًا متدرجًا يؤدي إلى الحجب المنهجي لجميع أنواع المحتوى المختلط من Chrome 81 المتوقع بين فبراير وأبريل 2020. تجدر الإشارة إلى أن Google تمنع بالفعل بعض البرامج النصية ومحتوى iframe بشكل افتراضي. لمزيد من المرونة ، سيقدم Chrome 79 خيارًا للسماح للمستخدمين بإلغاء قفل صفحات معينة يعتبرونها جديرة بالثقة ، وبعد ذلك سيتم تشغيل عملية الحظر التدريجي لأنواع أخرى من المحتوى المختلط من Chrome 80 المتوقع في أوائل عام 2020 .